tcpdump là một chương trình lệnh được sử dụng để bắt các gói tin mạng. Trong khi bạn chỉ có thể truy cập hệ thống bằng dòng lệnh thì đây là một tiện ích hỗ trợ bạn rất nhiều. Nó có một vài các options như sau đây:

  • Nhìn thấy được các bản tin dump trên terminal
  • Bắt các bản tin và lưu vào định dạng PCAP (có thể đọc được bởi Wireshark)
  • Tạo được các bộ lọc Filter để bắt các bản tin cần thiết, ví dụ: http, ftp, ssh, …
  • Có thể nhìn được trực tiếp các bản tin điều khiển hệ thống Linux sử dụng wireshark, xem chi tiết Remote packet capture using WireShark and tcpdump
  • Và nhiều các options khác nữa, xem thêm trang tcpdump man page

tcpdump

Lệnh dưới đơn giản sau đây để capture và dump các bản tin bắt được vào file với tên là mypcap.pcap:

tcpdump -s 0 port ftp or ssh -i eth0 -w mypcap.pcap

Trong đó:

  • -s 0: Thiết lập số bytes tối đa bắt được (0 nghĩa là max 65535), file capture được sẽ không bị xé nhỏ
  • -i eth0: thiết lập lắng nghe trên interface nào, mặc định là eth0
  • port ftp or ssh: là một bộ lọc, chỉ lọc các gói tin của giao thức ftp và ssh. Bỏ tùy chọn này để bắt tất cả các gói tin
  • -w mypcap.pcap: sẽ tạo ra một file định dạng pcap và lưu tại thư mục đang làm việc. Nó có thể được mở bởi Wireshark

Chỉ cần nhớ đoạn lệnh ngắn gọn trên, sau đó bạn có được file dump thì sẽ sử dụng Wireshark để phân tích sau này.

About The Author